Server Bitlocker Verschlüsseln (Kein TPM Modul)
Hallo liebe Community,
ich habe ein paar Fragen zu Bitlocker Verschlüsselung auf zwei Servern.
Szenario:
2 Server, beide Windows Server 2016 -> Aktueller Patch Stand.
Einer der beiden Server ist ein DC. Hier soll eine andere Partition als die System Partition verschlüsselt werden (Laufwerk D
und ein SQL Server, auf dem auch eine andere Partition Verschlüsselt werden soll als die System Partition (Laufwerk D
meine Fragen:
1. Da beide Geräte kein TPM Modul haben, müsste bei jedem Neustart ein PIN eingegeben werden um die Laufwerke zu entschlüsseln, ist das so korrekt?
2. Entschlüssele ich die Partitionen beim Systemstart dann oder müsste dies nachträglich passieren, wenn Windows gebooted wurde?
3. Bei dem SQL Server soll das Volumen mit der DB verschlüsselt werden. Kann es hier zu Problemen kommen mit der Datenbank?
Über evtl. Erfahrungsberichte würde ich mich freuen!
Blake
ich habe ein paar Fragen zu Bitlocker Verschlüsselung auf zwei Servern.
Szenario:
2 Server, beide Windows Server 2016 -> Aktueller Patch Stand.
Einer der beiden Server ist ein DC. Hier soll eine andere Partition als die System Partition verschlüsselt werden (Laufwerk D
und ein SQL Server, auf dem auch eine andere Partition Verschlüsselt werden soll als die System Partition (Laufwerk D
meine Fragen:
1. Da beide Geräte kein TPM Modul haben, müsste bei jedem Neustart ein PIN eingegeben werden um die Laufwerke zu entschlüsseln, ist das so korrekt?
2. Entschlüssele ich die Partitionen beim Systemstart dann oder müsste dies nachträglich passieren, wenn Windows gebooted wurde?
3. Bei dem SQL Server soll das Volumen mit der DB verschlüsselt werden. Kann es hier zu Problemen kommen mit der Datenbank?
Über evtl. Erfahrungsberichte würde ich mich freuen!
Blake
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 499973
Url: https://administrator.de/contentid/499973
Ausgedruckt am: 26.11.2024 um 00:11 Uhr
14 Kommentare
Neuester Kommentar
Moin.
Es ist sehr fragwürdig, nur d: zu verschlüsseln, da der Schutz für d: auf diese Weise nur oberflächlich, quasi "gut gemeint" sein kann.
Nenn mir mal die Mainboardtypen der Server - vielleicht erlauben diese die Verwendung von Intel PTT (TPM-Emulation als Teil der Management Engine). In jedem Fall wirst Du, falls es Serverhardware ist, ein TPM nachbestellen können.
Ohne TPM ist das nahezu Unsinn bei Servern.
Es ist sehr fragwürdig, nur d: zu verschlüsseln, da der Schutz für d: auf diese Weise nur oberflächlich, quasi "gut gemeint" sein kann.
Nenn mir mal die Mainboardtypen der Server - vielleicht erlauben diese die Verwendung von Intel PTT (TPM-Emulation als Teil der Management Engine). In jedem Fall wirst Du, falls es Serverhardware ist, ein TPM nachbestellen können.
Ohne TPM ist das nahezu Unsinn bei Servern.
Warum? Ich habe Server (gewünscht) so laufen, das nur die Datenpartition verschlüsselt ist und man die nach einem Reboot erst manuell entsperren muß. Wenn jemand den Server rausträgt, sind die wichtigen Dinge also doch dann verschlüsselt. Wenn die per TPM automatisch entsperrt würden, könnte der neue Besitzer doch direkt überall ran.
cu,
ipzipzap
Zitat von @BlakeDarko:
danke, das beantwortet ja schon einmal die Frage mit dem manuellen Entschlüsseln. Danke dafür!
danke, das beantwortet ja schon einmal die Frage mit dem manuellen Entschlüsseln. Danke dafür!
Man kann den Key auch auf einem USB-Stick abspeichern anstatt in einem TPM. Also so lange der Stick dann dransteckt, fährt der Server automatisch hoch ohne PIN-Abfrage.
cu,
ipzipzap
@ipzipzap
Ich schrieb "nahezu", da ich nicht davon ausgehe, dass jemand einen ernsthaften Server betreibt, der immer manuellen Eingriff erfordert. Denk bitte mal an Abstürze, die sich ereignen könnten, wenn Du nicht da bist.
@blake
mein Angebot steht.
Ich schrieb "nahezu", da ich nicht davon ausgehe, dass jemand einen ernsthaften Server betreibt, der immer manuellen Eingriff erfordert. Denk bitte mal an Abstürze, die sich ereignen könnten, wenn Du nicht da bist.
Wenn die per TPM automatisch entsperrt würden, könnte der neue Besitzer doch direkt überall ran.
Wie kommst Du darauf? Der Serverlogon ist doch notwendig zum Zugriff und da kommt der Dieb nicht weit.Man kann den Key auch auf einem USB-Stick abspeichern anstatt in einem TPM. Also so lange der Stick dann dransteckt, fährt der Server automatisch hoch ohne PIN-Abfrage.
Bitte? Wann würdest Du diesen Schlüssel denn überhaupt abziehen, jeden Feierabend?@blake
mein Angebot steht.
Zitat von @DerWoWusste:
@ipzipzap
Ich schrieb "nahezu", da ich nicht davon ausgehe, dass jemand einen ernsthaften Server betreibt, der immer manuellen Eingriff erfordert. Denk bitte mal an Abstürze, die sich ereignen könnten, wenn Du nicht da bist.
@ipzipzap
Ich schrieb "nahezu", da ich nicht davon ausgehe, dass jemand einen ernsthaften Server betreibt, der immer manuellen Eingriff erfordert. Denk bitte mal an Abstürze, die sich ereignen könnten, wenn Du nicht da bist.
Sicher, aber das war so explizite Vorgabe, da immer jemand zum entsperren verfügbar bzw. vor Ort wäre. Falls nach Murphy dann aber wirklich doch niemand da ist, dann kommt man noch Remote drauf, da der Server ja noch bootet, weil ja nur die Datenpartition verschlüsselt ist. Läuft jetzt so schon seit über fünf Jahren und noch keine Beschwerden gehört.
Wenn die per TPM automatisch entsperrt würden, könnte der neue Besitzer doch direkt überall ran.
Wie kommst Du darauf? Der Serverlogon ist doch notwendig zum Zugriff und da kommt der Dieb nicht weit.Aber das stellt doch dann schon kein ernsthaftes Hindernis mehr da, wenn man schon so weit kommt.
Man kann den Key auch auf einem USB-Stick abspeichern anstatt in einem TPM. Also so lange der Stick dann dransteckt, fährt der Server automatisch hoch ohne PIN-Abfrage.
Bitte? Wann würdest Du diesen Schlüssel denn überhaupt abziehen, jeden Feierabend?Ich habe nur beschrieben, das es geht. Bitlocker läßt das ja so offiziell zu. ICH würde diesen Schlüssel dann aber an einer langen USB-Verlängerung in der Wand einmauern *g*
cu,
ipzipzap
Du kannst das gerne so machen mit der Passworteingabe. Sonderlich sicher ist es nicht, da jeder c: manipulieren kann, so dass er Admin ist und von da aus ist der Weg zu D: ein kurzer, sei es, dass man einfach einen weiteren Recoverykey für d: per Skript setzt.
Von wegen "ernsthaftes Hindernis" - natürlich ist das ein ernsthaftes Hindernis. Beispiel: wenn Du keinen Weg findest, an der Anmeldemaske einzudringen (brute force ist hier nicht möglich), dann bleibt nur, den Schlüssel aus dem RAM zu extrahieren ("Cold-Boot-Attack") - das muss man erst einmal können. Ebenso könnte man eine DMA-Attacke fahren (welche aber mit geeigneten GPOs schon unmöglich gemacht wird) oder den TPM selbst angreifen. Letzteres ist auch ein ernsthaftes Hindernis, um mal den Aufwand einzuschätzen, siehe https://pulsesecurity.co.nz/articles/TPM-sniffing
Von wegen "ernsthaftes Hindernis" - natürlich ist das ein ernsthaftes Hindernis. Beispiel: wenn Du keinen Weg findest, an der Anmeldemaske einzudringen (brute force ist hier nicht möglich), dann bleibt nur, den Schlüssel aus dem RAM zu extrahieren ("Cold-Boot-Attack") - das muss man erst einmal können. Ebenso könnte man eine DMA-Attacke fahren (welche aber mit geeigneten GPOs schon unmöglich gemacht wird) oder den TPM selbst angreifen. Letzteres ist auch ein ernsthaftes Hindernis, um mal den Aufwand einzuschätzen, siehe https://pulsesecurity.co.nz/articles/TPM-sniffing
ICH würde diesen Schlüssel dann aber an einer langen USB-Verlängerung in der Wand einmauern *g*
Echt? Dann kommt der Angreifer mit seinem Laptop und steckt das freie Ende bei sich ein und kopiert den Schlüssel.Zitat von @DerWoWusste:
Du kannst das gerne so machen mit der Passworteingabe. Sonderlich sicher ist es nicht, da jeder c: manipulieren kann, so dass er Admin ist und von da aus ist der Weg zu D: ein kurzer, sei es, dass man einfach einen weiteren Recoverykey für d: per Skript setzt.
Du kannst das gerne so machen mit der Passworteingabe. Sonderlich sicher ist es nicht, da jeder c: manipulieren kann, so dass er Admin ist und von da aus ist der Weg zu D: ein kurzer, sei es, dass man einfach einen weiteren Recoverykey für d: per Skript setzt.
Wie willst Du einen RecoveryKey setzen, wenn das Laufwerk gesperrt ist?
ICH würde diesen Schlüssel dann aber an einer langen USB-Verlängerung in der Wand einmauern *g*
Echt? Dann kommt der Angreifer mit seinem Laptop und steckt das freie Ende bei sich ein und kopiert den Schlüssel.Ok, das war jetzt nicht so ganz ernst gemeint
cu,
ipzipzap
Wie willst Du einen RecoveryKey setzen, wenn das Laufwerk gesperrt ist?
Es artet aus. Diese Fragen sind Standard seit Jahr und Tag, die Antworten sind bekannt und die Schlussfolgerungen sind bekannt.Ja, du kannst einen Key nur auf eine gemountete Partition setzen, das ist klar. Aber deine Herangehensweise begünstigt Evil-Maid-Angriffe, die lediglich 2x Zugang zum Serverraum erfordern: Server resetten, in c: eindringen, Skript platzieren, abhauen. Du kommst, entsperrst d:, Skript setzt Recoverykey auf d: und beim nächsten Zugang zum Serverraum bin ich drin.
Für das Szenario "Einbrecher", der gewaltsam den Serverraum öffnet und natürlich bemerkt wird (Schloss kaputt, Server weg) ist deine Methode gut.
Ich habe hier im Einsatz beide Methoden kombiniert:
c: mittels TPM geschützt
d: wird erst nach dem Start automatisch per Skript, welches im Netzwerk auf einem Server liegt, der physikalisch perfekt gesichert ist, entsperrt
Das bietet meiner Meinung nach den besten Schutz und gleichzeitig erfordert es keinen manuellen Eingriff.
Zitat von @DerWoWusste:
Aber deine Herangehensweise begünstigt Evil-Maid-Angriffe, die lediglich 2x Zugang zum Serverraum erfordern: Server resetten, in c: eindringen, Skript platzieren, abhauen. Du kommst, entsperrst d:, Skript setzt Recoverykey auf d: und beim nächsten Zugang zum Serverraum bin ich drin.
Aber deine Herangehensweise begünstigt Evil-Maid-Angriffe, die lediglich 2x Zugang zum Serverraum erfordern: Server resetten, in c: eindringen, Skript platzieren, abhauen. Du kommst, entsperrst d:, Skript setzt Recoverykey auf d: und beim nächsten Zugang zum Serverraum bin ich drin.
Das ist klar, aber darum ging es ja nicht.
Für das Szenario "Einbrecher", der gewaltsam den Serverraum öffnet und natürlich bemerkt wird (Schloss kaputt, Server weg) ist deine Methode gut.
Eben.
c: mittels TPM geschützt
d: wird erst nach dem Start automatisch per Skript, welches im Netzwerk auf einem Server liegt, der physikalisch perfekt gesichert ist, entsperrt
d: wird erst nach dem Start automatisch per Skript, welches im Netzwerk auf einem Server liegt, der physikalisch perfekt gesichert ist, entsperrt
Gut, so mache ich das anderswo nämlich teilweise auch, nur halt gänzlich ohne TPM. Somit erübrigt sich dann auch das lange USB-Kabel ;-P
cu,
ipzipzap
Dein Server hat laut https://www.dell.com/en-us/work/shop/povw/poweredge-r740 TPM 1.2/2.0, TCM 2.0 optional
Als erstes solltest Du dich entscheiden, ob Du den Host nicht auch gleich verschlüsselst - das würde ich tun. Da er einen TPM hat, ist das alles ganz simpel, wenn man davon ausgeht, dass Du Hyper-V benutzt. Wenn nicht, sieht das anders aus.
Als erstes solltest Du dich entscheiden, ob Du den Host nicht auch gleich verschlüsselst - das würde ich tun. Da er einen TPM hat, ist das alles ganz simpel, wenn man davon ausgeht, dass Du Hyper-V benutzt. Wenn nicht, sieht das anders aus.
A Sicherheit ist nie Bequem B Sicherheit muss geschachtelt sein
BL auf allen Partitionen, bei den Daten noch EFS
Ein TPM ist heutzutage nicht mehr zu empfehlen, da es zu unsicher ist, blockiert werden könnte.
Chiffrierung bei einem Server, der immer läuft, ist fast ohne Sinn. OK, bei aktivem EFS würde ein PW größer 20 Stellen ein gewaltiges Hindernis sein.
BL auf allen Partitionen, bei den Daten noch EFS
Ein TPM ist heutzutage nicht mehr zu empfehlen, da es zu unsicher ist, blockiert werden könnte.
Chiffrierung bei einem Server, der immer läuft, ist fast ohne Sinn. OK, bei aktivem EFS würde ein PW größer 20 Stellen ein gewaltiges Hindernis sein.